[lacnog] IPs comprometidas

Mar Dic 1 17:56:53 -03 2020

Estimados, 

Debo haberme expresado mal, entiendo que estos ataques no son productos de los mismos ISP, sino equipos dentro de los mismos que han sido vulnerados para realizar ataques a terceros. 

Facilite los datos porque, como han aportado varios, es bueno conocer que buenas prácticas utilizan para mitiga este tipo de situaciones. 

Entiendo que hay dentro de esta lista de difusión muchos ISPs de distintos tamaños, donde algunos seguramente cuentan con un SOC y otros simplemente no lo tienen. 

Agradezco los aportes y es bueno que los conozcamos entre todos, para defendernos de este tipo de eventualidades que surgen día a día. 

Saludos cordiales. 

De: "Roberto Alvarado" <ralvarado en anycast.cl> 
Para: "Latin America and Caribbean Region Network Operators Group" <lacnog en lacnic.net> 
Enviados: Martes, 1 de Diciembre 2020 17:47:14 
Asunto: Re: [lacnog] IPs comprometidas 

Jorge, 

Esto es pan de cada día, basta con dejar unos minutos una IP alcanzable desde internet y tendrás interminables ataques por fuerza bruta. 
Lo recomendable es no exponer accesos administrativos como SSH o Telnet (menos aun este ultimo) a través de IPs publicas, siempre mejor via VPN, pero de ser estrictamente necesario, evitar ocupar los puertos por defecto, limitar el acceso al puerto a orígenes específicos y ocupar alguna herramienta (de ser compatible) como CSF o Fail2ban para generar bloqueos temporales con extension de tiempo según sea su persistencia, bloquear todo el trafico para prefijos completos te puede traer finalmente otros problemas, por que pueden existir servicios DNS, Web, Correo, etc… perfectamente validos en los segmentos. 

Para mi, la condición de hostil de una IP por lo general es temporal y muchas veces el usuario detrás de este direccionamiento ni siquiera tiene conocimiento que es parte de un ataque, por en ejemplo en redes con IP dinámica el usuario que hoy tiene una IP que es “hostil” mañana tendrá otra pero el bloqueo afectara a quien reciba la ip que alguna vez fue bloqueada permanentemente o en casos como CGNAT donde el bloqueo afectara a los N usuarios que estén utilizando esa ip publica. 

Al final del dia, mejor evitar la situación no exponiendo puertos ni protocolos de administracion/control a internet donde quedan a merced de quien los quiera explotar. 

Saludos 
Roberto 

El 01-12-2020, a las 17:29, Jorge Franco vía LACNOG < [ mailto:lacnog en lacnic.net | lacnog en lacnic.net ] > escribió: 

Estimados, buenas tardes. 

Me comunico porque he podido apreciar que desde hace unos días nos están atacando por fuerza bruta algunos equipos con ip pública en nuestra infraestructura. 

Desde nuestro lado estamos bloqueando en nuestro firewall los bloques completos, ya que compromete la disponibilidad de nuestros servicios este tipo de situaciones. 

Facilito la lista y algunas capturas de los ataques, ya que si se encuentra alguno de los responsables de TI en la lista de difusión de LACNOG sería util que identifique los equipos para que no puedan seguir efectuando ataques estas personas. 

Saludos cordiales. 
<cap5.jpeg> <cap1.jpeg> <cap2.jpeg> <cap3.jpeg> <cap4.jpeg> <publicas.txt> _______________________________________________ 
LACNOG mailing list 
[ mailto:LACNOG en lacnic.net | LACNOG en lacnic.net ] 
https://mail.lacnic.net/mailman/listinfo/lacnog 
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 

_______________________________________________ 
LACNOG mailing list 
LACNOG en lacnic.net 
https://mail.lacnic.net/mailman/listinfo/lacnog 
Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog 
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/lacnog/attachments/20201201/61a2b97b/attachment-0001.htm>